Ich habe in dem Handbuch gelesen, dass die PHP-Funktion ein zufälliges Salz verwendet, um das Passwort zu hashen. Wie bekomme ich dieses zufällige Salz um es in der Datenbank zu speichern?Wie bekomme ich das zufällige Salz von password_hash in PHP?
Ein Salz wird automatisch und zufällig generiert, wenn Sie password_hash ausführen. Es wird jedes Mal anders sein, sogar für das gleiche Passwort. Das ist gut! Von the docs:
Sie sollten nicht manuell eingestellt oder in irgendeiner Weise verändern, das Salz. Speichern Sie einfach den gesamten Hash in der Datenbank und lassen Sie PHP damit umgehen. Verwenden Sie standardmäßig password_hash und password_verify den Industriestandard bcrypt in einer Weise, die den Best Practices der Branche entspricht. Wenn Sie dieses Verhalten ändern, wird Ihre Website wahrscheinlich weniger sichern.
Es ist ganz einfach, schau mal hier: http://php.net/manual/en/faq.passwords.php#faq.password.storing-salts
Aber eigentlich sollten Sie sie nicht brauchen, weil password_verify() nicht das Salz von Hand benötigen.
Wenn Sie PHP.net referenzieren, verwenden Sie mindestens eine englische Version davon http://php.net/manual/en/faq.passwords.php#faq.password.storing-salts - Bearbeiten: Dies gemäß Ihrem ursprünglichen Beitrag http://StackOverflow.com/Revisions/38553031/1 –
nicht mein downvote BTW –
@ Fred-ii-Sie haben Recht. Ich habe nicht bemerkt, dass ich auf der deutschen Seite war. – alve89
Warum brauchen Sie dieses Salz? –
Das Salz ist Teil des generierten Hash und wird jedes Mal zufällig generiert. Sie sollten es nicht separat speichern, und Sie sollten es nicht modifizieren/reparieren. Lass es in Ruhe! Verwenden Sie 'password_hash' wie in den Dokumenten beschrieben. – ceejayoz